iOS10 ATS 配置的一点思考

---

ATS 无法对 IP 地址进行限制

• 假设要调用的 api 为 /foo/bar/doSth

  • 如果服务器地址为api.myserver.com，那么http://api.myserver.com/foo/bar/doSth会被 ATS 拦截，因为它是不安全的
  • 如果服务器地址为221.233.20.115:9090，那么http://221.233.20.115:9090/foo/bar/doSth不会被 ATS 拦截，即使它是用的是 http 协议

• 这在我的另一片翻译文章苹果文档翻译 iOS10 NSAppTransportSecurity中也有提及

第三方 SDK，同样需要遵守 ATS 规则

• 即第三方 SDK 也有被 ATS 过滤的风险，目前已知的有：
  • 极光
  • 友盟
  • 百度地图

---

配置举例

• 下面的例子做了如下配置：

  • iOS10

    1. Web View 可以载入任意内容（NSAllowsArbitraryLoadsInWebContent）
    2. myserver.com及其所有子域名（例如，api 和图片服务器）都可以使用 http 连接进行访问
    3. myserver.com及其所有子域名，都可以使用 http 连接进行访问（第三方 SDK 同样需要遵守 ATS 规则，所以需要列出所有仍旧使用 http 请求的第三方 SDK 域名，将它们添加进 exceptions）

  • iOS9

    1. ATS 完全关闭（NSAllowsArbitraryLoads）

    <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSAllowsArbitraryLoads</key>
        <true/>
        <key>NSAllowsArbitraryLoadsInWebContent</key>
        <true/>
        <key>NSExceptionDomains</key>
        <dict>
            <key>myserver.com</key>
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
                <key>NSIncludesSubdomains</key>
                <true/>
            </dict>
            <key>jpush.cn</key>
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>